EuGH zur DSGVO: Entschuldigung als Schadensersatz?

Mit Urteil vom 4. Oktober 2024 (Az.: C-507/23) hat der Europäische Gerichtshof (EuGH) eine zentrale Frage des Datenschutzrechts beantwortet: Kann eine Entschuldigung als Ersatz für einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 genügen? Das Gericht befasste sich mit dem Schadensersatzanspruch bei unrechtmäßiger Verarbeitung personenbezogener Daten und konkretisierte dabei die Voraussetzungen für den Ersatz immaterieller Schäden.

Besonders brisant ist die Entscheidung, weil sie die Anforderungen an die Darlegung eines immateriellen Schadens präzisiert und feststellt, dass ein bloßer Verstoß gegen die DSGVO allein noch keinen Schadensersatzanspruch begründet. Gleichzeitig wurde klargestellt, dass eine Entschuldigung in bestimmten Fällen als Form des immateriellen Schadensersatzes anerkannt werden kann, sofern sie den Schaden vollständig ausgleicht.

Sachverhalt

Der Kläger, ein in Lettland bekannter Journalist mit Fachwissen im Automobilbereich, sah sich durch eine Kampagne der lettischen Verbraucherschutzbehörde (PTAC) in seinem verletzt. Die Behörde hatte ein Video veröffentlicht, in dem eine Figur auftauchte, die den Kläger imitierte – ohne dessen Einwilligung. Trotz Widerspruchs blieb das Video online, und das PTAC weigerte sich, eine finanzielle Entschädigung zu zahlen.

Daraufhin klagte der Journalist auf Feststellung der Rechtswidrigkeit der Datenverarbeitung und forderte eine öffentliche Entschuldigung sowie eine finanzielle Entschädigung in Höhe von 2.000 Euro. Während die lettischen Gerichte die Rechtswidrigkeit bestätigten und eine Entschuldigung anordneten, lehnten sie eine Geldentschädigung ab. Der Kläger legte Kassationsbeschwerde ein, und das Oberste Gericht Lettlands rief den EuGH zur Klärung der rechtlichen Fragen an.

Rechtliche Analyse

1. Schadensbegriff und Anforderungen an den Nachweis eines immateriellen Schadens

Der EuGH stellte zunächst klar, dass ein bloßer Verstoß gegen die DSGVO noch keinen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründet. Vielmehr sind drei kumulative Voraussetzungen erforderlich:

  • Es muss ein Verstoß gegen die DSGVO vorliegen,
  • der Kläger muss einen konkreten materiellen oder immateriellen Schaden erlitten haben,
  • und es muss ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden bestehen.

Das Gericht betonte, dass allein die unrechtmäßige Verarbeitung personenbezogener Daten nicht automatisch als „Schaden“ im Sinne der DSGVO anzusehen ist. Vielmehr muss der Betroffene darlegen, dass ihm tatsächlich ein nachteiliger immaterieller Effekt – etwa eine Rufschädigung oder eine psychische Belastung – entstanden ist.

2. Entschuldigung als Form des immateriellen Schadensersatzes?

Von besonderer Bedeutung ist die Frage, ob eine Entschuldigung als Ersatz für immaterielle Schäden ausreichen kann. Der EuGH bejahte dies grundsätzlich, allerdings nur unter bestimmten Bedingungen:

  • Eine Entschuldigung kann dann als Schadensersatz genügen, wenn die Wiederherstellung des ursprünglichen Zustands nicht mehr möglich ist.
  • Sie muss geeignet sein, den tatsächlich erlittenen Schaden in vollem Umfang auszugleichen.
  • Die Effektivität des Schadensersatzes muss gewährleistet sein, das heißt, die Entschuldigung darf keine bloße Formalität sein, sondern muss als ernsthafte Wiedergutmachung empfunden werden.

Diese Feststellungen sind insbesondere für nationale Gerichte von Bedeutung, die künftig prüfen müssen, ob eine Entschuldigung in einem konkreten Fall einen vollständigen Ausgleich des Schadens bewirken kann.

3. Kein Abzug wegen mildernder Umstände bei der Berechnung des Schadensersatzes

Der EuGH stellte außerdem klar, dass die Haltung und Beweggründe des Verantwortlichen bei der Bemessung des Schadensersatzes keine Rolle spielen. Insbesondere dürfen etwaige mildernde Umstände – wie das Fehlen einer vorsätzlichen Schädigungsabsicht oder die Fehlinterpretation rechtlicher Vorgaben – nicht dazu führen, dass der Ersatzanspruch des Geschädigten reduziert wird.

Hierdurch wird deutlich, dass der Anspruch auf immateriellen Schadensersatz in erster Linie auf den erlittenen Nachteil des Betroffenen abstellt und nicht auf die Schuldfrage des Verantwortlichen.

Folgen der Entscheidung

Das Urteil hat weitreichende Folgen für das Datenschutzrecht und die Praxis der Gerichte in den Mitgliedstaaten. Besonders bedeutsam sind dabei folgende Aspekte:

  • Kläger müssen künftig konkret nachweisen, dass ihnen durch eine DSGVO-Verletzung tatsächlich ein immaterieller Schaden entstanden ist. Eine rein abstrakte Rechtsverletzung reicht nicht aus.
  • Eine öffentliche oder schriftliche Entschuldigung kann in bestimmten Fällen als Ersatz für immaterielle Schäden ausreichen, wenn sie den Schaden vollständig ausgleicht. Dies hängt jedoch von den Umständen des Einzelfalls ab.
  • Die Beweggründe des Datenschutzverantwortlichen haben keinen Einfluss auf die Höhe des Schadensersatzes. Der Schadenersatz dient ausschließlich dem vollständigen Ausgleich des erlittenen Schadens, nicht aber einer Bestrafung des Verantwortlichen.

Gerade der letzte Punkt stellt eine klare Trennlinie zwischen Schadensersatz und Sanktionen nach Art. 83 DSGVO dar, die bei Datenschutzverstößen verhängt werden können. Während Geldbußen auch präventive und abschreckende Zwecke erfüllen sollen, ist der Schadensersatzanspruch nach Art. 82 DSGVO rein kompensatorisch ausgestaltet.

Ausblick

Mit dieser Entscheidung konkretisiert der EuGH die Voraussetzungen für Schadensersatzansprüche bei Datenschutzverstößen und setzt hohe Maßstäbe für den Nachweis eines immateriellen Schadens. Die Anerkennung einer Entschuldigung als mögliche Form des Schadensersatzes ist dabei ein bemerkenswerter Aspekt, der die Rechtspraxis beeinflussen wird.

Gleichzeitig bleibt abzuwarten, wie nationale Gerichte diese Vorgaben umsetzen. Insbesondere stellt sich die Frage, wann eine Entschuldigung tatsächlich als „vollständiger Ausgleich“ eines Schadens gelten kann. Die Entscheidung dürfte zudem Einfluss auf künftige Streitigkeiten im Bereich der DSGVO haben, insbesondere bei Fällen, in denen Persönlichkeitsrechte betroffen sind. Damit liefert der EuGH eine wichtige Klarstellung zur Reichweite von Art. 82 DSGVO und stärkt zugleich die Rechtssicherheit für Betroffene und Unternehmen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.